Täuschung und der Nutzung des menschlichen Verhaltens
Trickbetrug ist seit der Antike eine typische Betrugsform, die in Form von Täuschung und der Ausnutzung des menschlichen Verhaltens existiert. Im Zuge der Digitalisierung stellt diese Form des Betrugs jedoch eine neue Dimension dar, die Cyberkriminelle mit sehr effektiven Methoden nutzen, um Millionen potenzielle Opfer erreichen. Daher sind Cyberangriffe, die gezielt menschliches Verhalten ausnutzen, eine echte Gefahr für alle Unternehmen. Das Themengebiet Cyber-Security dreht sich somit nicht nur um Computersysteme und Netzwerke, sondern auch um die Nutzer und Nutzerinnen dieser Technologien - mit all ihren Stärken und Schwächen - sind sie ein mindestens ebenso wichtiger Bestandteil.
Systematische Manipulation
Der Begriff „Social-Engineering hat seinen Ursprung in der Philosophie und beschreibt, dass Menschen durch soziologische und psychologische Faktoren, wie Maschinen, optimiert werden können. Heutzutage wird unter "Social Engineering" eine gezielte Form des Manipulationsbetrugs verstanden. Beim Social Engineering werden menschliche Eigenschaften, wie bspw. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Menschen zu manipulieren. Auf diese Weise verleiten Cyberkriminelle ihre Opfer dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen zu umgehen, auf private Geräte oder Computer im Firmennetzwerk zu übertragen oder Schadsoftware zu installieren.
Social Engineering ist demnach eine Betrugsmethode, die sich das typische menschliche Denken und Verhalten zu Nutze macht und wird dementsprechend auch als „Human Hacking“ bezeichnet. Der Unterschied zu Computerhackern besteht darin, dass Computer rational arbeiten, während der Mensch hauptsächlich von Emotionen geleitet wird. Diese Tatsache nutzen Cyberkriminelle beim Social Engineering.
Ziele des Social Engineerings
Beim Social Engineering nutzt der Täter den "Faktor Mensch", mit dem Ziel, sich über das vermeintlich schwächste Glied in der Sicherheitskette Zugang zu Daten und Systemen zu verschaffen. Daher zielen viele Cyberangriffe direkt auf Menschen ab und nicht primär auf technische Systeme oder Infrastrukturen. Diese Methode ist in der Regel einfacher, profitabler und erreicht die gewünschten Ziele schneller, als die aufwendige Entwicklung technologiebasierter Angriffsmethoden. Dabei spielt es keine Rolle, ob Cyberkriminelle sensible Daten stehlen, Informationen sammeln oder Daten verschlüsseln wollen, mit denen im zweiten Schritt ein finanzieller Gewinn erzielt werden kann.
Welche Arten von Social Engineering existieren, erfahren Sie zusammen mit ausgewählten Beispielen im zweiten Teil des Newsletters.